Hoare tarzı doğruluk kanıtları sırasında dizilerle nasıl başa çıkılır?

11

Bu sorunun etrafındaki tartışmada Gilles, dizileri kullanan bir algoritmanın herhangi bir doğruluk kanıtının, sınır ötesi dizi erişiminin olmadığını kanıtlamak zorunda olduğunu; çalışma zamanı modeline bağlı olarak, bu bir çalışma zamanı hatasına veya dizi olmayan öğelere erişime neden olur.

Bu tür doğruluk kanıtlarını gerçekleştirmek için yaygın bir teknik (en azından lisans çalışmalarında ve muhtemelen otomatik doğrulamada) Hoare mantığını kullanmaktır . Standart kurallar dizisinin dizilerle ilgili herhangi bir şey içerdiğinin farkında değilim; monadik değişkenlerle sınırlı görünmektedirler.

Formun aksiyomlarını eklediğimizi hayal edebiliyorum

$\qquad \displaystyle \frac{}{\{0 \leq i \lt A.\mathrm{length} \land {P[A[i]/E]} \}\ A[i] := E;\ \{P\}}$

Ancak, sağ taraftaki dizi erişimiyle nasıl başa çıkacağınız net değil, yani bazı ifadelerde ifadesinde karmaşık bir ifadenin parçasıysa . $E$ $x := E$

Dizilerin erişimi Hoare mantığında nasıl modellenebilir, böylece geçersiz erişimin olmaması programın doğruluğu için kanıtlanabilir ve kanıtlanabilir mi?

Yanıtlar, dizi öğelerinin dışındaki ifadelerde $A[i] := E$ veya içindeki bazı parçası olarak kullanılmasına izin vermediğimizi varsayabilir; çünkü bu, ifadeyi kısıtlamaz; her zaman istenen değeri geçici bir değişkene atayabiliriz, yani şunu yazın yerine $E$ $x := E$ $t := A[i];\ \mathtt{if} ( t > 0 ) \dots$ $\mathtt{if} ( A[i] > 0 )\dots$ .

— Raphael
kaynak

8

$\{P\} C \{P'\}$ $P$ $P'$ $C$ $C$ $C$ bağlamdan bağımsız bir gramer ile uyumludur ve muhtemelen serbest değişkenlerin izin verilen bir kümede olduğu anlamına gelir. Dil, dizi öğelerine erişim gibi semantik bir doğruluğa sahip yapılar içeriyorsa, bu semantik doğruluğu ifade etmek için hipotezler eklemeniz gerekir.

Resmi olarak, ifadelerin ve komutların düzeltilmesini ifade etmek için kararlar ekleyebilirsiniz. İfadelerin hiçbir yan etkisi yoksa, son koşullara değil, yalnızca ön koşullara ihtiyaç duyarlar. Örneğin, gibi iyi biçimlilik kuralları yazabilirsiniz

\frac{{P} E wf}{{P \land 0 \leq E < l e n g t h (A)} A [E] wf} \frac{{P} E_{1} wf {P} E_{2} wf}{{P} E_{1} + E_{2} wf}

$\dfrac{\{P\} \;\; E \text{ wf}} {\{P \wedge 0 \le E < \mathrm{length}(A)\} \;\; A[E] \text{ wf}} \qquad \dfrac{\{P\} \;\; E_1 \text{ wf} \qquad \{P\} \;\; E_2 \text{ wf}} {\{P\} \;\; E_1 + E_2 \text{ wf}}$

\frac{{P [x \leftarrow E]} E wf}{{P [x \leftarrow E]} x := E {P}}

$\dfrac{\{P[x\leftarrow E]\} \;\; E \text{ wf}} {\{P[x\leftarrow E]\} \;\; x := E \{P\}}$

$\mathbf{error}$ $\mathbf{error}$ $\mathbf{Error}$ $\neg\mathbf{Error}$

\frac{}{{P [x \leftarrow E]} x := E {P \lor E r r o r}} \frac{P [x \leftarrow E] ⟹ E ↛ e r r o r}{{P [x \leftarrow E]} x := E {P}}

$\dfrac{} {\{P[x\leftarrow E]\} \;\; x := E \;\; \{P \vee \mathbf{Error}\}} \qquad \dfrac{P[x\leftarrow E] \implies E \not\rightarrow \mathbf{error}} {\{P[x\leftarrow E]\} \;\; x := E \;\; \{P\}}$

Yine başka bir yaklaşım, Hoare'nin ancak programın doğru bir şekilde sona erdirilmesi durumunda üç katına çıkarılmasıdır. Sona ermeyen programlar için olağan yaklaşım budur: son durum, komut her zaman gerçekleşmeyecek şekilde sona erdiğinde geçerlidir. Çalışma zamanı hatalarını sonlandırma yapmazsanız, başlık altındaki tüm doğruluk sorunlarını süpürürsünüz. Yine de programın doğruluğunu bir şekilde kanıtlamanız gerekecek, ancak bu görev için başka bir formalizm tercih ederseniz Hoare mantığında olması gerekmez.

Bu arada, bir dizi gibi bir bileşik değişkeni değiştirildiğinde ne olacağını ifade etmenin, yazdıklarınızla daha fazla ilgili olduğunu unutmayın. Varsayalım mesela, olduğu ikame içerir: değişiklik olmaz , henüz tahsis geçersiz kılabilir . Tahminlerin söz dizimini sadece atomlar hakkında konuşmakla kısıtlasanız bile, ön koşulu altında ödevini göz önünde bulundurun : doğru hedefşart elde etmek için basit ikame yapamaz , değerlendirmek için gereken $P$ $\mathrm{IsSorted}(A)$ $A[i]\leftarrow E$ $P$ $A[i] \leftarrow P$ $P$ $A[A[0]-1] := A[0]$ $A[0] = 2 \wedge A[1] = 3$ $A[0] = 1 \wedge A[1] = 1$ $A[0]$ (önkoşul için tek bir olası değer belirtmeyebileceğinden genel olarak zor olabilir ). işlemini dizinin kendisinde gerçekleştirmeniz gerekir: . Mike Gordon'un ders notlarında dizilerle iyi bir sunum Hoare mantığı var (ancak hata kontrolü olmadan). $A[0]$ $A \leftarrow A[i\leftarrow E]$

— Gilles 'SO- şeytan olmayı bırak'
kaynak

0

Gilles'in belirttiği gibi, bir dizi ataması aksiyomu vardır (bkz. Gordon'un notları, Bölüm 2.1.10 ): Kelimelerde, bir dizi atamanız varsa, orijinal diziyi , değeri konumdaki diziye göre değiştirin . Eğer gönderi üzerinde zaten varsa ve atama , o zaman ön olarak almak gerektiğini unutmayın (evet, bu sırayla - son güncelleme ilk yürütülür!).

\frac{}{{Q [A \mapsto A . s t o r e (i, e x p r)]} A [i] = e x p r {Q}}

$\dfrac{} {\{Q[A \mapsto A.store(i,expr) ] \} \;\; A[i] = expr \;\;\{ Q \}}$ A.store(i,expr)iexprA.store(i,vi)A[j]=vjA.store(j,vj).store(i,vi)

Ayrıca, dizi erişim aksiyomuna gerekir: A.store(i,v)[i]ile değiştirilebilir v( "eriştiğiniz takdirde sadece güncellenen bu inci elemanı, daha sonra atanan değer döndürmek"). $i$

Bence dizilerle bir programın doğru olduğunu kanıtlamak için ("sınırsız erişim yok"), yukarıdaki aksiyomlar yeterlidir. Programı düşünelim:

...
A[i] = 12
...

Bu programa açıklama ekleriz:

...
@ {0<i<A_length}
A[i] = 12
...

Burada A_lengthdizi uzunluğunu belirten bir değişkendir. Şimdi ek açıklamayı kanıtlamaya çalışın - yani, geriye doğru çalışın (aşağıdan yukarı, Hoare kanıtlarında "genellikle" gibi). Üstte alırsanız {false}, o zaman sınırsız erişim gerçekleşebilir, aksi takdirde, aldığınız ifade, altında sınırsız erişimin mümkün olmadığı ön koşuldur. (ayrıca, dizi oluşturulduktan int A=int[10];sonra sahip olduğumuz post-koşulda olduğundan emin olmamız gerekir {A_length==10}).

— Ayrat
kaynak

Aksiyomlarınız sınır dışı erişimi modellemez: uzunluktan bile bahsetmezler! Örnek programınızda nasıl bir ilişkiniz lengthvar A?

— Gilles 'SO- kötü olmayı bırak

Doğru, aksiyomlar bağlı erişimlerin dışında bir model oluşturmaz. İlk olarak, bir programın doğru olduğunu kanıtlamak için bir erişimin sınırlar içinde olmasını gerektiren ek açıklamalar ekliyorum. ( lengthyeniden adlandırıldı A_length.) İkincisi, dizi "oluşturma" gibi aksiyomlara ihtiyacımız var int[] a = int[length] {a_length==length}. Bence bu yeterli olmalı.

— Ayrat